да так и вышло все файлы папки media в конце имели дописку var OOO='7kSKlBX ... и т.д. причём дата стояла 21.01. 2013 а вылезло только сейчас. Дописку удалил .. но где гарантия что всё не вернётся назад ? причину так и не знаю .
В основном это троян на компе ворующий пароли фтп, реже по хостингу бяка заползает, еще реже внешняя инъекция через уязвимость. Если фтп доступ на клиентской машине производится с сохранением паролей то надо комп лечить, пароли сменить, айболитом прогнать сайт на хостинге (возможно, что не все выцарапал), еще вариант здесь предлагали, скачать все файлы сайта на комп и прогнать через антивирь или поиском в тотале найти файлы с чужими дописками. В общем удачи в неравной борьбе со злом))
Тут в вашем сайте, один из файлов есть вирус, или кот который опасен для того нужен все файли скачать на вашем компьютере, с антивирусом проверит потом снова добавит на хосте
24 марта тоже самое было у меня. при этом внешнего нет ничего. неоткуда быть вирусу. сегодня написала в поддержку яндекс вопрос. жду ответа. но уже нет вируса на сайте... был и сплыл.
В мобильном эмуляторе показывает другой сайт (фишинговый сайт) посмотри в файл у тебе скрытый редирект вот сюда! flv-player.ru/l=3241181 так же смотри тпл файлы шаблона! поменяй шаблон посмотри редирект остается или нет, если да то значить скрытый код не в шаблоне а в двиге... посмотри и найдешь!
такая же проблема, вчера яндекс прислал письмо что сайт заражен этим трояном. Спасибо участникам этой страницы - нашел более 800 зараженных js-файлов у всех в конец добавлено ";document.write(unescape("%3C%73%63...." затем шифрованный кусок, затем ";var OOO='7kSKlBXYjNXZ" и заканчивалось "0x84de[2]](i);} ;return ret;} ;eval(lI1(I11(OOO)));" плюс в корне сайта лежала картинка sejeal.jpg от 24 января 2013 хорошо что был бэкап 6-ти месячной давности, сравнил несколько файлов - нашел разницу чищу :)
Дописку удалил .. но где гарантия что всё не вернётся назад ? причину так и не знаю .
Тут в вашем сайте, один из файлов есть вирус, или кот который опасен
для того нужен все файли скачать на вашем компьютере, с антивирусом проверит потом снова добавит на хосте
у всех в конец добавлено ";document.write(unescape("%3C%73%63...." затем шифрованный кусок, затем ";var OOO='7kSKlBXYjNXZ" и заканчивалось "0x84de[2]](i);} ;return ret;} ;eval(lI1(I11(OOO)));"
плюс в корне сайта лежала картинка sejeal.jpg от 24 января 2013
хорошо что был бэкап 6-ти месячной давности, сравнил несколько файлов - нашел разницу
чищу :)
Почистить надо было файлы конфига (траф перенапрявлялся на левый сайт)